客戶需求
該銀行需要在其採用靜態密碼驗證的網絡及安全設備、×××、堡壘機等業務系統,解決安全隱患及帳號共享問題,同時存在網絡設備不可細粒度授權用戶、變更操作的不可追溯性的困擾。基於現狀,增強帳號的安全性迫在眉睫。希望通過部署網絡AAA認證服務器,實現網絡設備管理用戶的統一身份認證,對其提出的認證請求、授權請求、審計請求做出響應。期望實現如下目標:
增加密碼安全----加強網絡設備密碼強度,提供網絡設備登錄安全;
滿足國家等保要求---所有賬號實現靜態密碼+動態密碼通過RADIUS認證協議實現雙因素認證登錄保護;
分級授權---對不同賬號、不同級別的用戶設定不通的操作權限;
操作審計---有效控制賬號泄漏及共享,使登錄及操作可以實名追溯;
管理收益---提升日常運維管理工作水平,保證自身的信息資產在一個合理而完整的框架下得到妥善保護,實現風險管理,在發生安全事件時,確保信息環境有序穩定地運作,將損失降到最低。
方案概述
1、 Windows服務器動態密碼登錄加固方案:
寧盾網絡設備AAA管理服務器(以下簡稱DKEY AM)藉助寧盾自研的認證插件,可以保護Windows服務器的本地登錄、遠程桌面登錄的雙因素認證。
2、 Linux服務器動態密碼登錄加固方案:
寧盾DKEY AM可以保護 Linux、Unix(AIX、HP-UNIX、Saloris)、BSD 等系統(統稱類 Unix 系統)的系統本地登錄、SSH 遠程登錄等支持 PAM 的場景,該方案可即插即用,並能夠無縫兼容原有證書體系,可支持跳板機和直接對。
3、 網絡設備WEB頁面登錄的動態密碼登錄加固方案:
通過網絡設備自帶的radius認證接口,實現此類設備WEB頁面登錄的動態密碼登錄加固。
下面以迪普防火牆的用戶登錄爲例,在 Password 輸入靜態密碼+動態密碼組合。
4、 網絡設備AAA認證及動態密碼加固方案:
支持不同品牌交換機、路由器、防火牆等主流網絡設備,幫助其實現網絡設備賬號統一AAA認證授權審計、動態密碼安全加固。
網絡拓撲
項目成效
通過部署寧盾一體化身份管理之後,到達的最終效果如下:
所有網絡設備、重要服務器,每個操作和運維人員都使用獨立的帳號,並且所有設備都使用同一個帳號;
提升服務器訪問、堡壘機、安全設備WEB登錄安全性,實現對其訪問的認證集中審計;
實現對網絡設備細粒度的認證、授權、審計;
減少服務器密碼管理成本;
對原有的固定密碼增加動態密碼,使帳號得到雙重保護。
項目中主要產品
寧盾DKEY AM、華爲交換機、華爲路由器、華三交換機、華三路由器、思科交換機、思科路由器、思科防護牆、Windows服務器、Linux服務器、堡壘機、迪普防火牆、啓明星辰IPS、啓明星辰防火牆等等。